普通钓鱼已经远去，基础认证钓鱼悄然来临

楼主^#

更多发布于：2012-12-03 20:12

[] 1


	在互联网发展迅速的时代下，网络安全漏洞是越来越受到各界人士的关注，在2011年乌云爆出CSDN等等的明文数据账户密码，到今天即将爆发的基础认证钓鱼，为什么说是基础认证钓鱼？因为他伪造成弹窗显示来钓鱼得到用户的账号密码，这是在乌云漏洞平台最新得到的钓鱼方式，而普通的伪造页面钓鱼已然失效，我们来看一下基础认证钓鱼的方法吧！图片：20121201105243408.jpg 只需引用外部的一个图片然后图片地址写为你的认证钓鱼地址即可开启这个弹框，而很多不懂网络安全的用户会认知为是打开网页需要认证此地址的账号密码，等用户输入了之后，账号密码就悄然的到了黑客的接受地址。图片：20121201105244897.jpg 图片：20121201105245197.jpg 目前经过证实，百度贴吧，人人网，360，Discuz!...等著名厂商都存在此漏洞。在乌云漏洞平台白帽子:horseluke 提出这个欺骗应该属于钓鱼一类，只要任何网站只要能插入外部内容都可以成功。但和钓鱼不同的是，由于引入外部内容可伪装成合法数据且为用户数据的高度不可控，会导致web 软件自身会拦不住（或者拦截成本过高），浏览器拦的话可以考虑（但目前也没见到类似拦截iframe的方法），再或者安全软件用智慧星方法把已知xss平台给拦（但这样的话对安全研究成为灾难）......所以个人更偏向需要向普通用户普及安全知识，或者用户自己直接用host把已知xss平台给屏蔽。综上：厂商忽略有道理，靠自己真修不了，也无从修起。可以看出此类钓鱼是给互联网的又一大的挑战，也希望一些安全杀毒软件可以给与拦截提示等！乌云漏洞平台地址：http://www.wooyun.org/bugs/wooyun-2010-015248 PS：163微安全提示:请务必在看到这种弹窗地址前，请先看好地址！ ( 责任编辑：疯子)